Rekommendationer för virussökning för företagsdatorer som kör Windows eller Windows Server (KB822158)

Inaktivera genomsökning av Windows Update- eller automatiska uppdateringsfiler

• Inaktivera genomsökning av databasfilen Windows Update eller Automatisk uppdatering (Datastore.edb). Den här filen finns i följande mapp:

       %windir%\SoftwareDistribution\Datastore

• Inaktivera genomsökning av loggfilerna som finns i följande mapp:

       %windir%\SoftwareDistribution\Datastore\Logs
  
  Uteslut specifikt följande filer:

  • Edb*.jrs

  • Edb.chk

  • Tmp.edb

• Jokertecknet (*) anger att det kan finnas flera filer.

Inaktivera genomsökning av Windows-säkerhet filer

• Lägg till följande filer i sökvägen %windir%\Security\Database i undantagslistan:

  • *.Edb

  • *.Sdb

  • *.logg

  • *.chk

  • *.jrs

  • *.xml

  • *.csv

  • *.cmtx

  Obs! Om dessa filer inte utesluts kan antivirusprogram förhindra lämplig åtkomst till dessa filer och säkerhetsdatabaser kan skadas. Genomsökning av dessa filer kan förhindra att filerna används eller så kan det förhindra att en säkerhetsprincip tillämpas på filerna. Dessa filer ska inte genomsökas eftersom antivirusprogram kanske inte behandlar dem korrekt som egna databasfiler.
  
  Det här är de rekommenderade undantagen. Det kan finnas andra filtyper som inte ingår i den här artikeln som bör undantas.

Inaktivera genomsökning av grupprincip-relaterade filer

• grupprincip användarregisterinformation. Dessa filer finns i följande mapp:

       Dator: %allusersprofile%\
       Användare: %ProgramData%\Microsoft\GroupPolicy\Users\<User Sid>\
  
  Uteslut specifikt följande fil:

       NTUser.pol

• grupprincip filer för klientinställningar. Dessa filer finns i följande mapp:

       %SystemRoot%\System32\GroupPolicy\Machine\
       %SystemRoot%\System32\GroupPolicy\User\
  
  Uteslut specifikt följande filer:

       Registry.pol
       Registry.tmp

Inaktivera genomsökning av användarprofilfiler

• Användarregisterinformation och stödfiler. Filerna finns i följande mapp:
  
       %userprofile%\
  
  Uteslut specifikt följande filer:
  
       NTUser.dat*

Köra antivirusprogram på domänkontrollanter

Eftersom domänkontrollanter tillhandahåller en viktig tjänst för klienter måste risken för avbrott i deras aktiviteter från skadlig kod, skadlig kod eller från ett virus minimeras. Antivirusprogram är det allmänt accepterade sättet att minska risken för infektion. Installera och konfigurera antivirusprogram så att risken för domänkontrollanten minskas så mycket som möjligt och prestanda påverkas så lite som möjligt. Följande lista innehåller rekommendationer som hjälper dig att konfigurera och installera antivirusprogram på en Windows Server domänkontrollant.

Varning Vi rekommenderar att du tillämpar följande angivna konfiguration på ett testsystem för att se till att den här konfigurationen inte medför oväntade faktorer eller försämrar systemets stabilitet i din specifika miljö. Risken med för mycket genomsökning är att filer flaggas felaktigt som ändrade. Detta orsakar för mycket replikering i Active Directory. Om testningen verifierar att replikering inte påverkas av följande rekommendationer kan du använda antivirusprogrammet i produktionsmiljön.

Not Specifika rekommendationer från leverantörer av antivirusprogram kan åsidosätta rekommendationerna i den här artikeln.

• Antivirusprogram måste installeras på alla domänkontrollanter i företaget. Under idealiska omständigheter bör du försöka installera sådan programvara på alla andra server- och klientsystem som måste interagera med domänkontrollanterna. Det är optimalt att fånga skadlig kod tidigast, till exempel i brandväggen eller på klientsystemet där skadlig kod införs. Det förhindrar att skadlig programvara når de infrastruktursystem som klienterna är beroende av.

• Använd en version av antivirusprogram som är utformad för att fungera med Active Directory-domänkontrollanter och som använder rätt API:er (Application Programming Interfaces) för att komma åt filer på servern. Äldre versioner av de flesta leverantörsprogram ändrar på ett olämpligt sätt metadata för en fil när filen genomsöks.

• Använd inte en domänkontrollant för att surfa på Internet eller utföra andra aktiviteter som kan introducera skadlig kod.

• Vi rekommenderar att du minimerar arbetsbelastningarna för domänkontrollanter. Undvik till exempel att använda domänkontrollanter i filserverrollen när det är möjligt. Den här metoden minskar virusskanningsaktiviteten på filresurser och minimerar prestandaproblemen.

• Placera inte Active Directory och loggfiler på NTFS-filsystem komprimerade volymer.

Inaktivera genomsökning av Active Directory- och Active Directory-relaterade filer

• Exkludera NTDS-databasfilerna. Platsen för dessa filer anges i följande registerundernyckel:

  
  
  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\DSA Database File Standardplatsen är %windir%\Ntds. Uteslut specifikt följande filer:

  • Ntds.dit

  • Ntds.pat

• Exkludera Active Directory-transaktionsloggfilerna. Platsen för dessa filer anges i följande registerundernyckel:

  
  
  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\Database Log Files Path Standardplatsen är %windir%\Ntds. Uteslut specifikt följande filer:

  • EDB*.log

  • Res*.log

  • Edb*.jrs

  • Ntds.pat

• Undanta filerna i NTDS-arbetsmappen som anges i följande registerundernyckel:

  
  
  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\DSA Working Directory Uteslut specifikt följande filer:

  • Temp.edb

  • Edb.chk

Inaktivera genomsökning av SYSVOL-filer

• Inaktivera genomsökning av filer i mappen Sysvol\Sysvol eller mappen SYSVOL_DFSR\Sysvol.
  
  Den aktuella platsen för mappen Sysvol\Sysvol eller SYSVOL_DFSR\Sysvol och alla undermappar är filsystemets referensmål för replikuppsättningsroten. Mapparna Sysvol\Sysvol och SYSVOL_DFSR\Sysvol använder följande platser som standard:

  %systemroot%\Sysvol\Domain
  %systemroot%\Sysvol_DFSR\Domain

  Sökvägen till den aktiva SYSVOL-resursen refereras av NETLOGON-resursen och kan bestämmas av SysVol-värdenamnet i följande undernyckel:

  HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Netlogon\Parameters

• Undanta följande filer från den här mappen och alla dess undermappar:

  • *.Adm

  • *.admx

  • *.adml

  • Registry.pol

  • Registry.tmp

  • *.Aas

  • *.Inf

  • Scripts.ini

  • *.Ins

  • Oscfilter.ini

• Inaktivera genomsökning av filer i DFSR-databasen och arbetsmappar. Platsen anges i följande registerundernyckel:

  
  
  HKEY_LOCAL_MACHINE\SYSTEM\Currentcontrolset\Services\DFSR\Parameters\Replication Groups\GUID\Replica Set Configuration File=Path I den här registerundernyckeln är "Sökväg" sökvägen till en XML-fil som innehåller namnet på replikeringsgruppen. I det här exemplet skulle sökvägen innehålla "Domain System Volume".
  
  Standardplatsen är följande dolda mapp:

       %systemdrive%\System Volume Information\DFSR
  
  Undanta följande filer från den här mappen och alla dess undermappar:

  • $db_normal$

  • FileIDTable_*

  • SimilarityTable_*

  • *.xml

  • $db_dirty$

  • $db_clean$

  • $db_lost$

  • Dfsr.db

  • Fsr.chk

  • *.frx

  • *.logg

  • Fsr*.jrs

  • Tmp.edb

  Obs! Om någon av dessa mappar eller filer flyttas eller placeras på en annan plats söker du igenom eller exkluderar motsvarande element.

Inaktivera genomsökning av DFS-filer

Samma resurser som exkluderas för en SYSVOL-replikeringsuppsättning måste också uteslutas om DFSR används för att replikera resurser som mappas till DFS-rot- och länkmål på Windows Server medlemsdatorer eller domänkontrollanter.

Inaktivera genomsökning av DHCP-filer

Som standard finns DHCP-filer som ska undantas i följande mapp på servern:

     %systemroot%\System32\DHCP

Undanta följande filer från den här mappen och alla dess undermappar:

• *.mdb

• *.klappa

• *.logg

• *.chk

• *.Edb

Plats för DHCP-filer kan ändras. Om du vill ta reda på den aktuella platsen för DHCP-filerna på servern kontrollerar du parametrarna DatabasePath, DhcpLogFilePath och BackupDatabasePath som anges i följande registerundernyckel:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\DHCPServer\Parameters

Inaktivera genomsökning av DNS-filer

Som standard använder DNS följande mapp:

%systemroot%\System32\Dns Undanta följande filer från den här mappen och alla dess undermappar:

• *.logg

• *.DNS

• STÖVEL

Inaktivera genomsökning av WINS-filer

Som standard använder WINS följande mapp:

     %systemroot%\System32\Wins

Undanta följande filer från den här mappen och alla dess undermappar:

• *.chk

• *.logg

• *.mdb

För datorer med Hyper-V-baserade versioner av Windows

I vissa fall kan det vara nödvändigt att konfigurera realtidsskanningskomponenten i antivirusprogrammet för att utesluta filer och hela mappar på Windows Server datorer som har Hyper-V-rollen installerad. Mer information finns i följande Knowledge Base-artikel:

• 961804Virtuella datorer saknas eller fel 0x800704C8, 0x80070037 eller 0x800703E3 inträffar när du försöker starta eller skapa en virtuell dator

Nästa steg

Om systemets prestanda eller stabilitet förbättras genom rekommendationerna i den här artikeln kontaktar du leverantören av antivirusprogrammet och ber om instruktioner eller en uppdaterad version av eller inställningar för antivirusprogrammet.

Obs! Din antivirusleverantör från tredje part kan samarbeta med Microsoft Support-teamet på ett affärsmässigt rimligt sätt.

Ändringshistorik

 I följande tabell sammanfattas de viktigaste ändringarna i det här avsnittet.